プラットフォーム
wordpress
コンポーネント
under-construction-maintenance-mode
修正版
2.1.2
2.1.2
Under Construction, Coming Soon & Maintenance Modeプラグインは、WordPressサイトでメンテナンスモードやプレビューページを作成するために使用されます。CVE-2026-34896は、このプラグインのバージョン2.1.1以下に存在するクロスサイトリクエストフォージェリ(XSRF)の脆弱性です。攻撃者は、この脆弱性を悪用して、管理者権限を持つユーザーを騙し、不正な操作を実行する可能性があります。バージョン2.1.2でこの脆弱性が修正されました。
このXSRF脆弱性は、攻撃者が正規の管理者ユーザーを騙して、プラグインの設定を変更したり、不正なコンテンツを公開したりする可能性があります。攻撃者は、巧妙に作成された悪意のあるリンクをクリックさせることで、管理者ユーザーの権限を悪用し、サイトの機密情報を盗み出したり、サイトの機能を破壊したりする可能性があります。特に、プラグインの設定変更は、サイト全体のセキュリティに影響を与える可能性があるため、注意が必要です。この脆弱性は、WordPressサイトの管理者がログインしている間に悪用される可能性があり、攻撃者は管理者アカウントの権限を奪取し、サイト全体を制御する可能性があります。
この脆弱性は、2026年4月7日に公開されました。現時点では、公的なエクスプロイトコードは確認されていませんが、XSRF攻撃は比較的容易に実行可能であり、悪用される可能性はあります。CISAのKEVリストにはまだ登録されていません。プラグインの利用状況やWordPressサイトのセキュリティ対策状況によっては、攻撃のリスクが高まる可能性があります。
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まずUnder Construction, Coming Soon & Maintenance Modeプラグインをバージョン2.1.2にアップデートしてください。アップデートできない場合は、WordPressのセキュリティプラグインを使用して、XSRF攻撃を軽減する対策を講じることができます。また、管理者ユーザーは、不審なリンクをクリックしないように注意し、定期的にパスワードを変更することが重要です。WAF(Web Application Firewall)を導入することで、XSRF攻撃を検知し、ブロックすることも可能です。
バージョン2.1.2、またはそれ以降の修正されたバージョンにアップデートしてください
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-34896は、WordPressのUnder Constructionプラグインバージョン2.1.1以下に存在するクロスサイトリクエストフォージェリ(XSRF)の脆弱性です。攻撃者は、この脆弱性を悪用して、管理者権限を持つユーザーを騙し、不正な操作を実行する可能性があります。
はい、Under Construction, Coming Soon & Maintenance Modeプラグインのバージョン2.1.1以下を使用しているWordPressサイトは、この脆弱性に影響を受けます。バージョン2.1.2にアップデートすることで、この脆弱性を修正できます。
Under Construction, Coming Soon & Maintenance Modeプラグインをバージョン2.1.2にアップデートすることで、この脆弱性を修正できます。アップデートできない場合は、WordPressのセキュリティプラグインを使用して、XSRF攻撃を軽減する対策を講じることができます。
現時点では、公的なエクスプロイトコードは確認されていませんが、XSRF攻撃は比較的容易に実行可能であり、悪用される可能性はあります。
Under Construction, Coming Soon & Maintenance Modeプラグインの公式ウェブサイトまたはWordPressプラグインディレクトリで、最新のアドバイザリを確認してください。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。